En este breve artículo, vamos a darle un repaso a un problema un tanto feo hoy en día en cualquier entidad: el uso indiscriminado de pendrives en nuestra red.
Sí, es algo muy grave, un pendrive es un dispositivo pequeño, fácil de esconder y que puede usarse para robar información o bien para infectar la red, intencionalmente o no; es lo de menos.
El problema se agrava hoy en día porque la mayoría de teclados van por los puertos usb, con lo que no podemos simplemente deshabilitarlos en la BIOS y olvidarnos. Tenemos que usar otra solución.
En linux, una posibilidad sería borrar el módulo que se encarga de esto, usb-storage.ko, pero aunque sea viable es un poco cutre ... En windows es algo peor. Y el problema se agrava cuando tienes cientos o miles de usuarios con teclados USB ...
Al final, por unas razones u otras necesitaremos, seguro, averiguar qué dispositivos usb han sido conectados a algún equipo, para lo que en windows tenemos USBDeview.
USBDeview es una utilidad que, ejecutada como administrador nos da una lista de todos los dispositivos USB que han sido conectados, pudiendo ordenar por timestamp y que, además, nos presenta el número de serie del dispositivo.:
También, como puede verse, la herramienta nos muestra la unidad en la que ha sido montado el pendrive. Esto es muy importante cuando recibimos una alerta del antivirus, porque con el path del virus podemos saber si se debe a que alguien ha insertado un pendrive.
Sin duda una interesante herramienta para análisis forense.
Saludos / Juliux.
